Как отключить intel me

Обновлено: 06.07.2024

Для отключения модулей ядра ОС, работающих с Intel ME, необходимо удалить эти модули из ядра, и запретить их загрузку.

Удаление модулей можно сделать командами:

rmmod mei_wdt
rmmod mei_me
rmmod mei

Запретить загрузку модулей можно с помощью механизма "чёрного списка" модулей, создав в каталоге /etc/modprobe.d/ файл с именем, например , /etc/modprobe.d/mei.conf, и записать в него следующие строчки с названиями модулей:

blacklist mei_wdt
blacklist mei_me
blacklist mei

Для справки возможный результат проверки при наличии модуля Intel ME:

ME Status : 0x1e000245
ME Status 2 : 0x60000006

ME: FW Partition Table : OK
ME: Bringup Loader Failure : NO
ME: Firmware Init Complete : YES
ME: Manufacturing Mode : NO
ME: Boot Options Present : NO
ME: Update In Progress : NO
ME: Current Working State : Normal
ME: Current Operation State : M0 with UMA
ME: Current Operation Mode : Normal
ME: Error Code : No Error
ME: Progress Phase : Host Communication
ME: Power Management Event : Clean Moff->Mx wake
ME: Progress Phase State : Host communication established

PCI READ [bc] : 0x000000bc
ME: Extend SHA-256: 193f2d686de7ecee80a98a140b2084bd084b33b06e05640f39f5c0d62d36bb69

ME seems okay on this board
WRITE [00] : CB: 0x80040007
WRITE [00] : CB: 0x000002ff
ME: timeout waiting for data: expected 8, available 6
ME: GET FW VERSION message failed
WRITE [00] : CB: 0x80080007
WRITE [00] : CB: 0x00000203
WRITE [00] : CB: 0x00000000
READ [08] : CB: 0x800d0007
READ [08] : CB: 0x00008203
READ [08] : CB: 0x00000000
READ [08] : CB: 0xde5c4704
READ [08] : CB: 0x0007000d
ME Capability: Full Network manageability : ON
ME Capability: Regular Network manageability : ON
ME Capability: Manageability : ON
ME Capability: Small business technology : OFF
ME Capability: Level III manageability : OFF
ME Capability: IntelR Anti-Theft (AT) : OFF
ME Capability: IntelR Capability Licensing Service (CLS) : ON
ME Capability: IntelR Power Sharing Technology (MPC) : ON
ME Capability: ICC Over Clocking : ON
ME Capability: Protected Audio Video Path (PAVP) : ON
ME Capability: IPV6 : ON
ME Capability: KVM Remote Control (KVM) : ON
ME Capability: Outbreak Containment Heuristic (OCH) : ON
ME Capability: Virtual LAN (VLAN) : ON
ME Capability: TLS : OFF
ME Capability: Wireless LAN (WLAN) : ON
exiting

Некоторые мысли и ссылки на этот счет. Может где-то и на уровне капитана очевидность, но все-таки. Интересно мнение на этот счет.

Почему надо бороться? Ответ: потому что эта полностью закрытая аппаратная подсистема на материнской плате во всех чипсетах Intel уже примерно года с 2006. Имеет абсолютно прозрачный доступ ко всей памяти компьютера, к сетевой плате, может работать при выключенном питании (но включенном в элекросеть компе). Прошивка закрыта, от изменений защищена sha256 и т.д. Важно, что подсистема в том или ином виде присутствует даже там, где официально ее нет.

Формально, это как бы полезная подсистема, которая позволяет пользователю (если все правильно настроить) удаленно управлять своим компьютером, используя аппаратные возможности: то есть, независимо от ОС. Однако кто еще кроме пользователя может? :-)

То есть, это некое НЕЧТО, которое в принципе может делать что угодно в вашем компьютере.

Ссылки (так получилось, что на хабр):

К сожалению, методы отключения не являются гарантированными. Требуют модификации прошивки, что в системах с новыми процессорами затруднено.

Собственно мысли по нейтрализации

Если допустить, что отключить троянца от Intel или AMD (там тоже есть аналогичное - AMD PSP - Platform Security Processor) не удается, то что можно сделать для затрудения его работы без модификаций прошивок? Конечно, лучше всего не использовать троянское железо, но что поделать, если это слишком сложно.

0) Использовать OpenSource операционные системы. Они если и не защищают от этих технологий, то по крайней мере, и не помогают специально, чего вполне можно ожидать от винды или мака.

1) Шифрование диска или хотя бы отдельных файлов/каталогов.

Эта мера помешает автоматически дистанционно читать или модифицировать содержимое винчестера. Так как хардтроян работает вне операционной системы, он столкнется с невозможностью напрямую прочитать информацию с диска. Хотя в принципе, от него можно ожидать и извлечения из памяти ключей, но это уже более сложный уровень и например, небольшая модификация алгоритмов может обломать. Хотя с просто чтением из памяти ничего нельзя поделать. Во всяком случае мне неизвестно, чтобы Linux или BSD могли работать с постоянно зашифрованной RAM. Однако, если бы это было реализовано, оно сильно бы подгадило хардтроянцам.

2) Перекрыть на внешнем файрволе tcp порты 5900, 16992, 16993, 16994, 16995.

Эти порты штатно используются для работы с Intel Me. Не то чтобы следовало всерьез рассчитывать на нейтрализацию таким простым способом, но все же. По крайней мере, это может помочь, если система как бы штатно работает, но об этом владелей забыл или не знал, например, что-то по дефолту включил и т.п.

3) Использовать не-интеловскую сетевую карту.

Тоже не Бог весть чего дает, но как и в случае с OpenSource операционками хотя бы можно ожидать, что дополнительных возможностей не будет. В любом случае, чем более нестандартная кофигурация, тем сложнее работать хардтрояну. Так что, не лишнее и чего-нибудь навроде сетевого соединения через Firewire устроить.

4) Сетевые соединения в интернет или куда-то еще делать исключительно через VPN (или другой защищенный коннект) на сервер-файрвол с неинтеловской архитектурой или старый до 2006-го года комп.

Смысл в том, что хардтроян может мониторить трафик (например, для своей активации) или передавать что-то независимо от ОС, но ему затруднительно незаметно влезть прямо в защищенный поток данных. В то же время, если на файрволе связь с защищаемым компьютером исключительно через VPN это помешает несанкционированной связи с внешним миром. Более того, попытки такой связи можно будет детектировать. Даже если с какого-то внешнего ресурса что-то придет внутри пользовательских данных для работы с Intel Me (например, внутри якобы обычной картинки), туннель невозможно будет установить прозрачно для ОС. Во всяком случае без наличия уязвимостей в ней.

Многие пользователи после установки Windows 10 сталкиваются с необходимостью установки актуального драйвера для Intel Managemet Engine Components. Что это такое, и действительно ли оно так необходимо компьютеру? Ответ на этот вопрос подразумевает изучение огромного количества информации. В том числе, технической документации. Поэтому в данной статье все объяснено простым языком, доступным каждому пользователю. Сначала стоит разобрать историю возникновения этого компонента, а потом поговорить о его предназначении.

История создания Intel ME Components

Вам будет интересно: Программа для рисования пиксель арта. Pixel Art Studio, редактор пиксельной графики

Производитель процессоров под брендом Intel начал внедрять этот компонент в изделия еще в 2008 году. Тогда эта технология казалась инновационной. Примерно в то же время в AMD запустили аналог, который назвали AMD Secure Technology. У синего бренда все шло отлично. Хотя не было предоставлено никакой вменяемой документации по данной технологии.

Так продолжалось вплоть до 2017 года. И как раз в этом году один хакер выявил серьезную уязвимость в Intel Management Engine Components. Что это за уязвимость? Можно сказать, что некий нехороший дядя при помощи специального кода мог заставить данный компонент открыть доступ к процессору. В итоге можно было управлять ЦП удаленно.

Это была пресловутая ошибка Spectre Meltdown. В свое время она наделала много шума. Генеральный директор "Интел" с перепугу даже продал контрольный пакет акций компании, чем привел в панику все инвестиционные компании в купе с биржами. Но все обошлось, хотя репутация у "Интел" оказалась подмоченной.

Последствия уязвимости в Intel ME

Естественно, скандал был неслыханный. "Интел" пришлось долго оправдываться, зализывать раны и извиняться. Но главное - эта оплошность заставила синих предоставить сменяемую документацию об Intel Management Engine Components. Что это за технология такая, стало понятно. Также стало понятно, почему получилось взломать систему защиты.

После эпического провала "Интел", ребята из АМД начали тестировать свою систему, ведь она была основана на наработках Intel Management Engine Components. Что это за уязвимость - они понятия не имели, но и в чипах от АМД со временем была обнаружена ровно такая же уязвимость. Но они успели ее оперативно заштопать и избежать скандала. Это позволило красному бренду занять лидирующие позиции на рынке процессоров. Главное - теперь можно понять, что представляет собой данный компонент.

Что такое Intel ME Components?

Итак, Intel Managemet Engine Components. Что это такое? По сути, это небольшой микрочип, который внедряется в процессор и регулирует его работу. Сами драйверы нужны для того, чтобы обеспечивать адекватную работу этого компонента. Ранее эта микросхема внедрялась в материнские платы. Но с тех времен, как большинство компьютеров перешли на одночиповую систему, микросхема стала внедряться в сами центральные процессоры. По мнению "Интел", такое положение вещей должно было повысить безопасность компьютера.

Кстати, о безопасности: у "Интел" были все основания думать, что МЕ способна защитить компьютер от различных атак. Дело в том, что МЕ управляет работой центрального процессора в различных режимах, даже при полностью выключенном компьютере. И именно эта технология отвечает за удаленное управление процессором. Задумка хорошая, но проблема в том, что сам компонент оказался дырявым.

За что отвечает Intel ME?

Программа Intel(R) Management Engine Components отвечает за правильную работу центрального процессора. Причем, имеется в виду не только включенный компьютер. Данная технология позволяет контролировать процессор и в том случае, если компьютер или ноутбук полностью выключены. Также компонент управляет работой процессора в режиме сна или в состоянии гибернации. В общем, этот компонент необходим, от него никуда не деться.

Также на базе Intel ME реализованы другие возможности. Так, к примеру, при помощи этой технологии осуществляется возможность удаленного управления компьютером, что весьма полезно для системных администраторов. Технология Intel AT ("противоугонный" модуль) тоже основывается на Intel(R) Management Engine Components. Совет: лучше установить необходимые драйвера и ни в коем случае не трогать настройки, иначе весь компьютер может выйти из строя.

Можно ли отключить Intel ME?

Теперь стоит рассмотреть подробнее работу с Intel(R) Management Engine Components. Как отключить данную функцию? Обычному пользователю она абсолютно не нужна. Стоит сразу отметить, что полное отключение опции невозможно. Некоторые хакеры разработали методику блокирования отдельных элементов, но от этого никакого толка не будет. А если заняться этим самому, то ничего хорошего не выйдет. ПК просто откажется запускаться, ведь Intel ME контролирует работу центрального процессора.

Но что с драйверами Intel Management Engine Components? Можно ли отключить некоторые опции программно? Можно. Простым удалением драйвера вместе с сопутствующим программным обеспечением. Но в этом случае может упасть (и довольно существенно) общая производительность процессора. Также весьма вероятна неадекватная работа "камня" в режиме сна. Не стоит забывать и о гибернации. В общем, соответствующие драйверы можно удалить, но делать этого не рекомендуется.

Заключение

Итак, в данной статье рассмотрен Intel Management Engine Components. Что это весьма важная подсистема центрального процессора, уже понятно. Без нее нормальное функционирование чипа невозможно. Однако некоторые "очумелые ручки" активно ищут способы отключения данной технологии. Делать этого ни в коем случае не нужно, так как последствия этого действия могут быть непредсказуемыми. В худшем случае - пользователь лишится своей дорогостоящей машины. В лучшем - система безопасности просто не даст "вырубить" данный компонент. В любом случае, делать этого не нужно. Лучше установить все необходимые драйверы, поставить актуальное программное обеспечение и не трогать данную опцию ни под каким видом. Все равно нормальной работе процессора и всех компонентов системы она не мешает.

Мне несколько раз в течение дня и каждый день, казалось бы, без шаблонов и процедур, мне представляется всплывающее окно из Intel Active Management Technology Profile Synchronization. В нем говорится о следующем: Intel PROSet/Wireless WiFi сконфигурировано для синхронизации профилей пользователей с Intel® Active Management Technology. Хотите синхронизировать.

Разрешение экрана

Осторожностью

Используйте этот метод только если Intel® AMT не сконфигурирована или что-то, что будет использовано в будущем

1. В BIOS функцияAdvance Chipset Feature -> Intel AMT(включена, отключена)
2. CTRL+P для входа в меню AMT (Intel ME состояния управления (включено, отключено)
3. В зависимости от модели HP (Hewlett-Packard) проверьте BIOS: расширенные возможности удаленного > управления > Active Management /Unconfigure AMT при следующей загрузке.

BIOS: базовая система ввода/вывода

Intel® Active Management Technology ИТ-менеджеры могут обнаружить, отремонтировать и защитить сетевые вычислительные ресурсы.

Вам нужна дополнительная помощь?

Оставьте отзыв

Информация о продукте и производительности

Содержание данной страницы представляет собой сочетание выполненного человеком и компьютерного перевода оригинального содержания на английском языке. Данная информация предоставляется для вашего удобства и в ознакомительных целях и не должна расцениваться как исключительная, либо безошибочная. При обнаружении каких-либо противоречий между версией данной страницы на английском языке и переводом, версия на английском языке будет иметь приоритет и контроль. Посмотреть английскую версию этой страницы.

Для работы технологий Intel может потребоваться специальное оборудование, ПО или активация услуг. // Ни один продукт или компонент не может обеспечить абсолютную защиту. // Ваши расходы и результаты могут отличаться. // Производительность зависит от вида использования, конфигурации и других факторов. // См. наши юридические уведомления и отказ от ответственности. // Корпорация Intel выступает за соблюдение прав человека и избегает причастности к их нарушению. См. Глобальные принципы защиты прав человека в корпорации Intel. Продукция и программное обеспечение Intel предназначены только для использования в приложениях, которые не приводят или не способствуют нарушению всемирно признанных прав человека.

Читайте также:

  
• Где кнопка break на ноутбуке lenovo
  
• Gigabyte control center обзор
  
• Как включить usb на смартфоне huawei y6 prime 2018
  
• Не родные картриджи hp
  
• Разгон i7 2600k на gigabyte z68